VANESSA GILBERT CPA
Espace client

Documents légaux

Évaluation des facteurs relatifs à la vie privée

En vigueur le : 2026-06-01

Document préliminaire — non finalisé. Cette EFVP est une *auto-évaluation initiale* menée par le cabinet pendant la construction du portail. Elle doit être validée et complétée par un conseiller en protection de la vie privée externe avant la production effective. Conformément à l'article 3.3 de la Loi 25, une EFVP est requise pour tout projet impliquant l'acquisition ou le développement d'un système d'information qui implique des renseignements personnels. La version finale sera datée, signée par le conseiller, et archivée à la suite de la révision.

1. Portée et objet

Système évalué

Portail client web pour le cabinet Vanessa Gilbert CPA — accessible à portail.vanessagilbertcpa.ca. Le portail centralise les échanges avec les clients : documents fiscaux, messagerie, prise de rendez-vous, questionnaires, suivi des mandats.

Personnes concernées

  • Clients particuliers (résidents du Québec en majorité).
  • Clients personnes morales (sociétés, OSBL, fiducies) — y compris les administrateurs et représentants.
  • Personnel du cabinet (Vanessa Gilbert CPA + équipe future).

Cadre légal applicable

  • Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25).
  • Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, fédéral).
  • Normes professionnelles de l'Ordre des CPA du Québec (OCPAQ).
  • Obligations fiscales de tenue de dossier (Loi de l'impôt sur le revenu, Loi sur les impôts du Québec).

2. Catégories de renseignements personnels

Identification Nom, courriel, téléphone, adresse postale, type de dossier.

Identifiants fiscaux sensibles Numéro d'assurance sociale (NAS), NEQ, numéros TPS/TVQ, date de clôture d'exercice.

Données financières et fiscales Revenus, dépenses, états financiers, déclarations de revenus, feuillets T4/T4A, relevés bancaires (téléversés en pièces jointes).

Communications Messages échangés via le portail, courriels de notification, notes internes (privées au cabinet).

Données techniques Adresse IP, agent utilisateur, horodatages, journaux d'audit.

Données d'authentification Mot de passe (haché bcrypt), secrets TOTP (chiffrés), clés publiques WebAuthn.

3. Finalités du traitement

  • Prestation des services comptables convenus dans la lettre de mission.
  • Communication sécurisée avec le client.
  • Respect des obligations légales, fiscales et professionnelles.
  • Sécurité du système et détection d'accès non autorisés.
  • Maintien de la piste d'audit requise par la Loi 25.

4. Cycle de vie des données

Collecte

Directement auprès du client (téléversement, formulaires de questionnaire, profil) ou auprès du cabinet (création du dossier par Vanessa, saisie de notes internes). Aucune collecte par moyens automatisés ou par des tiers.

Utilisation

Restreinte aux finalités énoncées à la section 3.

Communication à des tiers

Aucune communication à des tiers hors :

  • Sous-traitants techniques (Supabase, AWS, Cloudflare, Google Workspace) liés par contrat.
  • Autorités fiscales (ARC, Revenu Québec) dans le cadre des mandats.
  • Avocats, notaires, autres CPA — sur instruction explicite du client.
  • Tribunaux ou autorités réglementaires sur ordonnance.

Conservation

  • Données de mandats : minimum 7 ans après la fin du mandat (norme CPA).
  • Documents soft-supprimés : 30 jours en récupération, puis suppression permanente.
  • Journal d'audit : append-only, conservé indéfiniment (immutable).
  • Sessions actives : expiration automatique après 7 jours d'inactivité.

Destruction

À l'expiration du délai de conservation, suppression définitive de la base de données et purge du stockage S3. La purge des sauvegardes suit une politique de rétention séparée (voir contrat sous-traitant).

5. Hébergement et transferts hors-Québec

Données stockées au Canada

  • Base de données — Supabase Postgres, région ca-central-1 (Montréal).
  • Documents (fichiers) — Amazon S3, région ca-central-1 (Montréal).
  • Journaux d'audit — même base de données (Montréal).

Traitement transfrontalier — limité

  • Calcul edge : Cloudflare Workers s'exécute sur le réseau mondial de Cloudflare. Le traitement se fait à la périphérie la plus proche de l'utilisateur ; aucune donnée personnelle n'est stockée à cette périphérie, seulement un traitement transitoire en mémoire.
  • Courriels de notification : Cloudflare Email Sending utilise une infrastructure mondiale. Pour cette raison, les courriels ne contiennent jamais de contenu sensible — uniquement un lien vers le portail (politique « notification seulement »).
  • Courriel professionnel de Vanessa : Google Workspace (les courriers directs hors portail peuvent transiter par les serveurs Google aux États-Unis). Le client en est informé par cette EFVP.

Conformément à l'article 17 de la Loi 25, le client est informé par cette EFVP et par la politique de confidentialité que certaines communications peuvent transiter par des serveurs hors Québec.

6. Mesures de sécurité

Techniques

  • Chiffrement en transit (TLS) sur toutes les connexions.
  • Chiffrement au repos (AES-256) — base de données et stockage de fichiers.
  • NAS chiffré au niveau colonne avec pgcrypto.
  • Authentification multifacteurs obligatoire (TOTP ou WebAuthn).
  • URL signées de 5 min pour les téléchargements ; jetons HMAC de 10 min pour les fichiers protégés par mot de passe.
  • Cookies de session signés, HttpOnly, Secure, SameSite=Lax.
  • Limitation des tentatives de connexion (Better Auth, par défaut).
  • Révocation automatique des anciennes sessions sur le même appareil à chaque connexion.
  • Détection visuelle d'IP différente (« Dernière connexion depuis IP X »).

Organisationnelles

  • Accès aux données restreint au personnel autorisé (Vanessa et équipe future, rôles distincts).
  • Politique de mots de passe robustes (min. 12 caractères).
  • Journal d'audit append-only de toutes les actions modifiantes — non modifiable même par un administrateur.
  • Sauvegardes automatiques Supabase + versioning S3.
  • Politique de gestion des sous-traitants — contrats de confidentialité.

7. Risques identifiés et mitigations

R1 — Compromission d'un compte client (vol d'identifiants, hameçonnage) Mitigation : 2FA obligatoire, alerte visuelle sur IP différente, révocation des sessions précédentes, journal d'audit consultable par le client. Risque résiduel : faible.

R2 — Compromission de la base de données (intrusion, fuite) Mitigation : chiffrement au repos, NAS chiffré au niveau colonne, accès DB restreint aux services autorisés, journal d'audit immuable. Risque résiduel : faible-modéré.

R3 — Erreur humaine (admin envoie une donnée au mauvais client) Mitigation : confirmations explicites avant archivage / envoi, séparation des rôles, page d'aide interne avec rétroaction. Risque résiduel : modéré.

R4 — Transfert de données hors Québec via courriels de notification Mitigation : politique « notification seulement » — aucun renseignement confidentiel dans le corps du courriel ; divulgation explicite à la section 5 de cette EFVP et dans la politique de confidentialité. Risque résiduel : faible.

R5 — Défaillance du fournisseur d'hébergement (Supabase, AWS) Mitigation : sauvegardes automatiques quotidiennes, architecture portable (Postgres standard, S3 standard), plan de continuité documenté. Risque résiduel : faible.

R6 — Faille dans le code applicatif (XSS, SQL injection, etc.) Mitigation : ORM paramétré (Drizzle), validation d'entrée systématique (Zod), revues de code, en-têtes de sécurité. Risque résiduel : modéré (revue de sécurité prévue avant production).

R7 — Perte d'accès du client à son compte (mot de passe oublié, 2FA perdu) Mitigation : codes de récupération générés à l'activation 2FA, possibilité de réinitialisation par Vanessa via renvoi d'un lien d'activation. Risque résiduel : faible.

8. Plan en cas d'incident

  • Détection — surveillance des journaux d'audit, alertes Cloudflare.
  • Confinement — révocation immédiate des sessions concernées, blocage IP au pare-feu, suspension des comptes touchés.
  • Évaluation — détermination de la portée et de la gravité dans les 72 heures.
  • Notification — aux clients concernés et à la Commission d'accès à l'information du Québec si le risque est sérieux (Loi 25).
  • Documentation — registre des incidents conservé indéfiniment.

Plan formel d'incident à finaliser en parallèle de cette EFVP, avant l'ouverture du portail à la production.

9. Mesures qui restent à finaliser

  • Politique formelle de gestion des incidents (en cours).
  • Validation de la révocation des permissions UPDATE/DELETE sur la table audit_log au niveau Postgres (migration 0005 prête, à appliquer avant production).
  • En-têtes CSP (Content Security Policy) à durcir avant production.
  • Revue de sécurité externe complète à planifier.
  • Délai de conservation précis pour les journaux d'audit à confirmer avec le conseiller juridique.
  • Modèle de notification d'incident à pré-rédiger.

10. Responsable et validation

Auteur du brouillon : Vanessa Gilbert CPA — agissant à titre de responsable de la protection des renseignements personnels du cabinet, avec l'assistance technique du développeur du portail (Nicholas Damato).

Validation finale requise par : conseiller juridique indépendant ou avocat spécialisé en protection de la vie privée (Québec). À identifier avant le 2026-08-31.

Tout commentaire à vanessa@vanessagilbertcpa.ca.